IoT-Hacking - Sicherheitslücken im Internet der Dinge erkennen und schließen

2 Wie man sich elektronisch Zutritt verschafft – Türschlösser manipulieren

Eines der ältesten bekannten Schlösser ist sage und schreibe 4000 Jahre alt und befindet sich in den Ruinen des Alten Reichs in Ägypten. Man bezeichnet dieses Schloss aufgrund seiner Verbreitung in dieser Gegend auch als »ägyptisches Schloss«. Es besteht aus Holz und enthält unterschiedlich lange Holzstifte. Ein Schlitz in der Tür ermöglicht das Einführen eines Holzschlüssels mit Stiften passender Länge. Der Schlüssel musste in das Schloss gesteckt und nach oben geschoben werden, damit die Oberseiten der Stifte über dem Riegel bündig ausgerichtet waren. Dann konnte man die Tür öffnen.

Nach den Ägyptern beeinflussten Griechen und Römer den Bau von Schlössern, und es gab verschiedene Umsetzungen in China, der Türkei und Indien. Spätere Einflüsse aus Großbritannien und den USA brachten uns die verschiedenen Typen von Schlössern, wie wir sie heute kennen – mit einer Kombination aus beweglichen Hebeln, Bartschlüsseln und Zylinderschlössern. Damit soll das Öffnen der Schlösser ohne den richtigen Schlüssel möglichst erschwert werden.

Für unsere physische Sicherheit verlassen wir uns auf Schlösser an unseren Wohnungstüren, auch wenn den meisten von uns klar sein dürfte, wie einfach es ist, Schlösser mithilfe unterschiedlicher Techniken zu knacken1. In vielen Staaten und Ländern versucht man, die Verbreitung von Werkzeugen zum Aufbrechen von Schlössern zu verhindern, indem man den Besitz solcher Werkzeuge von wenigen Ausnahmen abgesehen strikt verbietet. Allerdings – und das dürfte jedem klar sein – wird sich ein Krimineller, der sich Zugang zu einem bestimmten Haus oder einer Wohnung verschaffen möchte, wohl kaum durch das reine Vorhandensein gesetzlicher Regelungen abschrecken lassen.

Beim Blick in die Zukunft mit ihren IoT-fähigen Geräten erkennen wir schnell, dass wir über den Tellerrand des mechanischen Knackens von Schlössern hinaussehen und elektronische Mechanismen analysieren müssen, die für uns potenziell ein größeres Risiko darstellen. Wir werden in diesem Kapitel Sicherheitsfragen zu bereits erhältlichen elektronischen Türschlössern, ihre Funkmechanismen und ihre Integration mit mobilen Geräten untersuchen. Diese Themen sind Gegenstand der folgenden Abschnitte. Dabei werden wir auch die aktuellen Sicherheitsmechanismen – bzw. deren Fehlen – bei elektronischen Türschlössern untersuchen. Wenn wir uns mit den unzureichenden sicherheitstechnischen Entscheidungen befasst haben, die mancher Hersteller trifft, werden wir besser über potenzielle Risiken Bescheid wissen und außerdem einen guten Eindruck davon haben, was in Zukunft für die Absicherung solcher Türschlosstypen notwendig sein wird.

2.1 Hoteltürschlösser und Magnetkarten

Eine der bekanntesten Sicherheitslücken, die vom Fachexperten Cody Brocious entdeckt wurde, betrifft Millionen von Türschlössern in den Hotels dieser Welt. Angesichts der möglichen Auswirkungen wäre keine Abhandlung dieses Themas ohne eine Beschreibung dieser Schwachstelle vollständig. Brocious hatte seinen Ansatz bei der Black-Hat-Sicherheitskonferenz im Juli 2012 vorgestellt, und tatsächlich kam es in vielen Hotels in der Folge zu zahlreichen Einbrüchen, in denen die Täter diese Lücke nutzten, um sich Zugang zu Hotelzimmern zu verschaffen und die Gäste um Wertsachen zu erleichtern. Brocious‘ Vorgehensweise ist in der Informationssicherheits-Community sehr populär, da sie sich grundlegende sicherheitstechnische Konstruktionsmängel zunutze macht und deswegen der perfekte Einstieg in das Thema »Sicherheitsprobleme bei elektronischen Türschlössern« darstellt.

2.1.1 Das Onity-Türschloss

Das Türschloss Onity HT hat eine extrem große Verbreitung erfahren. Falls Sie schon einmal in einem Hotel übernachtet haben, sind Sie mit Sicherheit schon darauf gestoßen und haben ihm Ihre Sicherheit und Privatsphäre blindlings anvertraut. Wie wir in Abbildung 2–1 sehen, umfasst das Onity-Schloss ein Lesesystem für eine Magnetkarte. Solche Karten werden an die Gäste des Hotels ausgegeben und müssen durch den Leser gezogen werden, um die Tür zu öffnen. Hotelmitarbeiter können solche Karten beim Check-in oder auf Anfrage ausgeben. Bestimmte Mitarbeiter – z.B. das Reinigungspersonal – erhalten spezielle »Generalschlüsselkarten«, mit denen sich mehrere Türen öffnen lassen.

Abb. 2–1 Onity-Türschloss

Obwohl das Onity-Schloss mit der Verwendung von Magnetkarten als Schlüsseln einen traditionellen Mechanismus implementiert, wollen wir es doch näher unter die Lupe nehmen, denn IoT-Türschlösser der nächsten Generation werden mit hoher Wahrscheinlichkeit einen Hybridansatz verfolgen, der traditionelle Mechanismen wie physische Schlüssel oder Magnetkarten zwar beibehält, gleichzeitig aber intelligentere Methoden wie Funkauthentifizierung und elektronische Schlüssel verwenden wird, wie wir sie im weiteren Verlauf dieses Kapitels noch kennenlernen werden. Es ist auch deswegen wichtig, die Sicherheitsaspekte des Onity-Schlosses zu verstehen, weil sie die Grundlage für das Verständnis wesentlicher sicherheitstechnischer Konstruktionsfehler bilden, die sich möglicherweise bei Millionen von Schlössern in aller Welt ausnutzen lassen. Unser Ziel muss es sein, solche Szenarios in der Zukunft zu verhindern.

2.1.2 Der Magnetstreifen

Wir sind in unserem Leben schon häufig mit Magnetkarten in Berührung gekommen. Von der Kreditkarte über das Zugticket bis zur Hotelschlüsselkarte nutzen wir Karten mit Magnetstreifen ständig für den Zugang zu Dienstleistungen oder bestimmten Orten. Abbildung 2–2 stellt die Rückseite einer ganz normalen Kreditkarte mit Magnetstreifen dar. Zu sehen sind der Magnetstreifen (1), die Unterschrift (2) und der CSC (Card Security Code, Kartensicherheitscode2, 3). Wir werden im Folgenden die als Hotelzimmerschlüssel dienenden Codekarten beschreiben, die normalerweise auf der Vorderseite das Logo des Hotels tragen und auf der Rückseite nur den Magnetstreifen aufweisen.

Abb. 2–2 Karte mit Magnetstreifen

Normale Magnetstreifen enthalten drei separate Datenspuren, auf denen verschiedene Datenblöcke gespeichert sein können. Auch wenn nicht festgelegt ist, wie die einzelnen Spuren verwendet werden müssen, werden die Spuren 1 und 2 im Allgemeinen bei von der Finanzbranche ausgestellten Bank-, Debit- und Kreditkarten verwendet. Das Onity-Schloss nutzt Spur 3, auf der die folgenden Daten enthalten sind:

• ID-Wert (16 Bits). Mit diesem Wert werden die Zimmertür, zu der der Schlüssel passt, und das Kartenexemplar identifiziert. Bei Generalkarten, die für Hotelmitarbeiter erstellt werden, ist die Zimmerkennung durch die Angabe des Hotelmitarbeiters ersetzt. Wenn ein Gast im Hotel eincheckt, wird beim ersten für die betreffende Tür erstellten Schlüssel die Kopierkennung auf 0 festgelegt, bei allen weiteren Exemplaren wird zu Identifikationszwecken jeweils eine 1 hinzuaddiert.

• Flagbyte (8 Bits).

  Hiermit können weitere Optionen in einem Datenbyte angegeben werden.

• Ablaufdatum (16 Bits).

  Wird beim Check-in des Gasts festgelegt und gibt an, wie lange die Karte gültig bleibt.

• Leerfeld (24 Bits).

  Diese Bits sind alle auf 0 gesetzt.

• Schlüsselcodewert (24 Bits).

  Dieser Wert wird für jedes Schloss individuell festgelegt. Dabei wird das Schloss auch mit einem Look-ahead-Wert konfiguriert. Wenn etwa für ein Schloss der Schlüsselcodewert 100 und der Look-ahead-Wert 50 festgelegt wurden, akzeptiert es ganze Zahlen zwischen 100 und 150 als gültige Schlüsselcodewerte. Jedes Mal, wenn eine gültige Karte durchs Schloss gezogen wird, wird der Schlüsselcodewert hierdurch auf den Kartenwert gesetzt. Auf diese Weise zählt das Schloss seinen Schlüsselcodewert hoch und sorgt so dafür, dass ältere Karten nicht mehr verwendet werden können. Beachten Sie, dass bestimmte Schlüsselcodewerte, die Generalkarten darstellen, ebenfalls in den Schlössern gespeichert werden. Das Hotel kann Bereiche mithilfe unterschiedlicher Generalschlüsselcodes segmentieren, d.h., mit einer Generalkarte können nur bestimmte Schlösser im Hotel geöffnet werden.

Die Werte werden mit dem sogenannten Sitecodewert verschlüsselt. Hierbei handelt es sich um eine von Onity vergebene 32-Bit-Zufallszahl, mit der das betreffende Hotel bezeichnet wird. Durch Manipulation dieses Wertes lassen sich beliebige Magnetkarten für das Aufschließen von Türen und sogar für das Programmieren der Schlösser selbst missbrauchen (wie das geht, werden wir im Folgenden noch sehen).

Der eigentliche Verschlüsselungsalgorithmus, den der Sitecodewert verwendet, ist in Anhang B von Brocious‘ Whitepaper...